Закони за защита на личните данни в България: пълно ръководство за GDPR и ЗЗЛД (2026)

Личните данни в България се уреждат от GDPR на ЕС (Регламент (ЕС) 2016/679), който се прилага пряко, и националния Закон за защита на личните данни (ЗЗЛД), последно изменен с ДВ, бр. 70 от 20 август 2024 г. Независимата КЗЛД упражнява надзор за спазването на изискванията и може да налага глоби на нарушителите до 20 млн. евро или 4% от глобалния годишен оборот.
България прилага правото на ЕС за защита на данните чрез пряко приложимия Общ регламент относно защитата на данните (GDPR) и националния Закон за защита на личните данни (ЗЗЛД), под надзора на Комисията за защита на личните данни (КЗЛД). Рамката обхваща цялото обработване на лични данни от администратори и обработващи лица, извършващи дейност в България, независимо дали субектите на данните са български граждани.
Информацията е последно проверена на 19.05.2026 г. Тази статия представя обща правна информация относно българското законодателство за защита на данните. Тя не представлява правен съвет.
Обхват на юрисдикцията: Тази статия разглежда законодателството за защита на данните на Република България, основно GDPR на ЕС (Регламент (ЕС) 2016/679) и българския Закон за защита на личните данни (ЗЗЛД), изменен до август 2024 г. Тя разглежда и Регламента на ЕС за изкуствения интелект (Регламент (ЕС) 2024/1689), доколкото се прилага в България, както и контекста от решението на ЕСПЧ по делото Екимджиев и други срещу България. За по-широката рамка на ЕС вижте нашето ръководство за законите за защита на данните в ЕС. За правилата на България относно записването на разговори и подслушването вижте нашето ръководство за законите за записване в България.
Кратък отговор: спазва ли България GDPR?
България е държава членка на ЕС. GDPR се прилага пряко и изцяло на цялата територия на България, без да е необходимо национално транспониране. Българският Закон за защита на личните данни (ЗЗЛД), обнародван в ДВ, бр. 17 от 26 февруари 2019 г. и последно изменен в ДВ, бр. 70 от 20 август 2024 г., допълва GDPR в областите, в които регламентът изрично позволява или изисква национално законодателство. Те включват структурата и правомощията на КЗЛД като надзорен орган, възрастта за цифрово съгласие (определена на 14 години), разпоредбите относно видеонаблюдението, правилата за обработване на лични данни за журналистически и академични цели, както и транспонирането на Директива (ЕС) 2016/680 (Директивата за правоприлагане). Всяко физическо или юридическо лице, включително организации извън ЕС, което обработва лични данни на лица в България, трябва да спазва както GDPR, така и ЗЗЛД. Неспазването може да доведе до административни глоби до 20 млн. евро или 4% от глобалния годишен оборот, както и до наказателна отговорност по българския Наказателен кодекс за определени категории нарушения.

Правна рамка: GDPR, българският ЗЗЛД и КЗЛД
Правната архитектура на защитата на данните в България се основава на три нива. Първо, GDPR осигурява задължителната рамка на ниво ЕС, приложима от 25 май 2018 г. Второ, ЗЗЛД предоставя националното законодателство по прилагане. Трето, КЗЛД издава задължителни решения, указания и становища, които тълкуват рамката в българската практика.
ЗЗЛД е изменян многократно от 2019 г. насам, за да отрази законодателните развития. Известната хронология на измененията е следната:
- ДВ, бр. 17 от 26 февруари 2019 г. (основен акт по прилагане, влязъл в сила на 2 март 2019 г.)
- ДВ, бр. 93 от 26 ноември 2019 г. (технически и процедурни изменения)
- ДВ, бр. 11 от 2 февруари 2023 г. (интегриране на Закона за защита на лицата, подаващи сигнали, определящо КЗЛД за компетентен контролен орган по новия закон, влязло в сила на 4 май 2023 г.)
- ДВ, бр. 84 от 6 октомври 2023 г. (изменения на Закона за електронните съобщения, засягащи електронната неприкосновеност и директния маркетинг)
- ДВ, бр. 70 от 20 август 2024 г. (най-скорошното изменение към датата на тази статия)
Законът за електронните съобщения (изменен през октомври 2023 г.) урежда отделно бисквитките, електронния директен маркетинг и съхранението на трафични и локационни данни, допълвайки общата рамка на GDPR със секторно специфични правила. Съгласно Закона за електронните съобщения, маркетингът по електронна поща към индивидуални абонати изисква предварително изрично съгласие. Корпоративните абонати са изключени от това изискване след измененията от 2021 г.
Конституционна основа
Конституцията на България от 1991 г. предоставя основата на основните права за защитата на данните. Чл. 32 гарантира, че никой не може да бъде подлаган на намеса в личните или семейните му работи или в кореспонденцията му. Всеки има право на защита срещу незаконно събиране, съхраняване, използване и разпространение на информация за него. Чл. 34 защитава свободата и тайната на кореспонденцията и другите съобщения. Тези конституционни гаранции стоят в основата на ЗЗЛД и дават на българските съдилища правомощието да обявяват за противоконституционни разпоредби, които не осигуряват адекватна защита.
Конституционният съд на България също се е занимавал с въпроси на защитата на данните. Разпоредби на ЗЗЛД, които създаваха предварително определен списък от критерии за преценка дали обработването за журналистически цели и цели, свързани със свободата на изразяване, е пропорционално, бяха оспорени и обявени за противоконституционни, като вместо това се изисква преценка за всеки конкретен случай.

КЗЛД: структура, правомощия и прилагане
Комисията за защита на личните данни (КЗЛД) е независимият надзорен орган на България по смисъла на чл. 51 от GDPR. КЗЛД е колегиален орган, състоящ се от председател и четирима членове, всички избирани от Народното събрание за петгодишен мандат. Настоящият председател е Борислав Божинов. Бившият председател Венцислав Караджов е заемал по-рано поста заместник-председател на Европейския комитет по защита на данните през предходен мандат.
Годишният бюджет на КЗЛД за 2024 г. е бил 6 403 403 лв. (около 3 274 008 евро). Комисията разполага със собствен щат от около 117 души, което я прави един от по-големите органи за защита на данните сред държавите членки на ЕС от Централна и Източна Европа. Правилникът за дейността на КЗЛД е последно актуализиран на 28 април 2023 г.
КЗЛД публикува двумесечен бюлетин, който предоставя информация за решенията по прилагане и регулаторните развития. От 2024 г. насам КЗЛД е намалила броя на индивидуално публикуваните решения на своя уебсайт, поради което бюлетинът се е превърнал в основния канал за проследяване на тенденциите в прилагането между годишните доклади.
От 2023 г. насам КЗЛД изпълнява допълнително функциите на компетентен контролен орган по българския Закон за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения. Заседанията, на които КЗЛД действа в това си качество, са закрити.
Правомощия и функции на КЗЛД
КЗЛД разполага с целия обхват от надзорни и коригиращи правомощия по GDPR съгласно чл. 58 и чл. 83. Те включват:
- извършване на разследвания по жалби, подадени от физически лица, или по собствена инициатива на КЗЛД
- извършване на проверки на място на администратори и обработващи лица
- издаване на предупреждения, порицания и разпореждания за привеждане в съответствие
- налагане на временни или постоянни забрани за обработване
- разпореждане за спиране на потока от данни към получатели в трети държави
- налагане на административни санкции съгласно чл. 83, §§ 4 и 5 от GDPR
КЗЛД изпълнява и консултативни функции: издава становища по проекти на нормативни актове, предоставя указания на администраторите и провежда кампании за обществена осведоменост. Тя поддържа публичен регистър на администраторите и обработващите лица, назначили длъжностни лица по защита на данните, както и регистър на акредитираните органи за сертифициране.
КЗЛД сама по себе си не изпълнява принудително наложените глоби чрез производство по събиране. Изпълнението на финансовите санкции следва отделна административна процедура съгласно българския Закон за административните нарушения и наказания (ЗАНН). Това разграничение е важно за предприятията, преценяващи срока от налагането на глобата до реалното ѝ събиране.
Статистика за прилагането
Дейност на КЗЛД по прилагане на законодателството по години:
| Година | Проверки на място | Жалби/уведомления | Общо наложени санкции |
|---|---|---|---|
| 2022 г. | 324 (предимно видеонаблюдение) | не е посочено | над 1 000 000 лв. (само за Български пощи) |
| 2023 г. | 237 | не е посочено | 25 000 лв. (политическа партия); 2000 лв. (Министерство на вътрешните работи) |
| 2024 г. | не е посочено | 637 | 74 700 лв. (около 38 194 евро) |
Годишният доклад за дейността на КЗЛД за 2024 г. потвърждава, че жалбите и уведомленията се отнасят предимно до електронни съобщения, пощенски оператори, онлайн залагания, услуги за бързи кредити, частни съдебни изпълнители и директен маркетинг. Намаляването на проверките на място от 324 през 2022 г. на 237 през 2023 г. отразява преминаване към дейност, водена от жалби, вместо проактивни проверки.
Типичният диапазон за производствата по санкции по GDPR/ЗЗЛД е от 1000 до 10 000 лв. (около 500 до 5000 евро). КЗЛД обикновено налага или глоба, или задължителни коригиращи указания, рядко и двете едновременно. Знаковите глоби срещу НАП и Банка ДСК през 2019 г. остават изключение, а не представителен пример за ежедневното прилагане.
Значими действия по прилагане
Национална агенция за приходите (5 100 000 лв. / 2 550 000 евро, 2019 г.): Най-голямата глоба по GDPR в българската история беше наложена на Националната агенция за приходите (НАП) след кибератака, при която хакер получи отдалечен неправомерен достъп до сървърите на НАП и извлече личните данни на около 6 074 140 лица, представляващи почти цялото пълнолетно население на България. Данните включваха имена, единни граждански номера (ЕГН), адреси, информация за доходи и данни за данъци и осигуровки. КЗЛД установи, че НАП не е приложила адекватни технически и организационни мерки за сигурност, както се изисква от чл. 32 от GDPR, и наложи глоба от 5 100 000 лв. (около 2 550 000 евро). Пробивът в НАП предизвика национален отзвук относно киберсигурността в публичния сектор и издигна защитата на данните до политически приоритет.
Банка ДСК (1 000 000 лв. / 500 000 евро, 2019 г.): Банка ДСК беше глобена с 1 000 000 лв. (около 500 000 евро), след като неоторизирани лица получиха достъп до личните и финансовите данни на над 33 000 клиенти. КЗЛД установи, че банката не е спазила формалните изисквания на чл. 32 от GDPR, като не е приложила подходящи технически и организационни мерки за защита на данните на клиентите.
Български пощи ЕАД (1 000 000 лв. / 500 000 евро, 2022 г.): Български пощи бяха глобени с 1 000 000 лв. (около 500 000 евро) за неподходящи технически и оперативни мерки за сигурност, довели до неправомерен достъп и разгласяване на лични данни, включително документи за самоличност, адреси, телефонни номера, финансови данни и здравна информация.
Политическа партия (25 000 лв. / 12 786 евро, 2023 г.): КЗЛД глоби политическа партия с 25 000 лв. за неправомерно обработване на лични данни на симпатизанти във връзка с парламентарни избори, което показва, че прилагането на законодателството обхваща и извън частния сектор.
Министерство на вътрешните работи (2000 лв. / 1022 евро, 2023 г.): КЗЛД глоби Министерството на вътрешните работи с 2000 лв. за съхраняване на лични данни след изтичане на законоустановения срок, което показва, че дори по-леки нарушения от страна на публични органи водят до формални санкции.

Конституционна основа и контекст на ЕСПЧ
Ангажиментът на България към защитата на личния живот надхвърля ЗЗЛД и GDPR. Чл. 8 от Европейската конвенция за правата на човека (ЕКПЧ), която България е ратифицирала, гарантира правото на зачитане на личния и семейния живот, жилището и кореспонденцията. Европейският съд по правата на човека (ЕСПЧ) се е произнасял пряко относно практиките на наблюдение в България.
По делото Екимджиев и други срещу България (жалба № 70078/12, решение от 11 януари 2022 г.) съдът единодушно приема, че България е нарушила чл. 8 от Конвенцията в две отношения. Първо, българското законодателство, уреждащо тайното наблюдение (специалните разузнавателни средства), не осигурява ефективни правни гаранции срещу произвол и злоупотреба, като не отговаря на изискването за качество на закона по Конвенцията. Второ, българските правила относно съхранението на трафични данни от далекосъобщения и достъпа на правоприлагащите органи до тях също са били недостатъчни, оставяйки данните от наблюдение без адекватна защита срещу злоупотреба. Делото засяга както общата правна рамка, така и практиките на Държавна агенция „Национална сигурност" (ДАНС) на България.
Решението по делото Екимджиев има пряко значение за защитата на данните в България. То потвърждава, че дейностите по наблюдение трябва да се основават на ясен, достъпен и предвидим закон. Всяко обработване на лични данни от българските разузнавателни или правоприлагащи органи, което остава извън разпоредбите на ЗЗЛД за транспониране на Директивата за правоприлагане, трябва самостоятелно да отговаря на стандартите по чл. 8 от ЕКПЧ.
Последващо свързано дело, Кънев и Български хелзинкски комитет срещу България, установи, че отказът на Държавна агенция „Национална сигурност" да потвърди или отрече, че държи данни за правозащитен активист и неправителствена организация, нарушава чл. 8 поради липсата на ефективни гаранции срещу произволно обработване.
Правни основания и съгласие
Шестте правни основания по чл. 6 от GDPR се прилагат пряко в България без национална модификация. Администраторът, обработващ лични данни, трябва да определи и документира поне едно приложимо основание, преди да започне обработването:
| Правно основание | Позоваване на чл. 6 | Бележка за България |
|---|---|---|
| Съгласие | чл. 6, § 1, буква „а" | Трябва да бъде свободно дадено, конкретно, информирано и недвусмислено. Възрастов праг: 14 години за услуги на информационното общество. |
| Изпълнение на договор | чл. 6, § 1, буква „б" | Няма национална дерогация. |
| Правно задължение | чл. 6, § 1, буква „в" | Много български законови задължения отговарят на това основание. |
| Жизненоважни интереси | чл. 6, § 1, буква „г" | Тясно приложимо; само при спешни случаи. |
| Изпълнение на задача от обществен интерес | чл. 6, § 1, буква „д" | Прилага се за публични органи и органи, упражняващи официални правомощия. |
| Легитимни интереси | чл. 6, § 1, буква „е" | Не е достъпно за публични органи, действащи в официалното си качество. Изисква се тест за баланс на интереси. |
ЗЗЛД добавя специфично правило: когато администратор установи, че е нарушил чл. 5 (принципи) или чл. 6 (правно основание), той трябва да върне или изтрие неправомерно обработените данни в срок от един месец от установяването на нарушението.
Специални категории лични данни
Специалните категории данни (чл. 9 от GDPR) получават засилена защита в България. Обработването изисква както правно основание по чл. 6, така и допълнително условие по чл. 9, § 2. ЗЗЛД не налага допълнителни ограничения извън GDPR за повечето специални категории. Той обаче уточнява, че в трудовоправен контекст обработването на данни за съдимост и престъпления изисква изрично законово оправомощаване; съгласието и легитимният интерес са недостатъчни основания за такова обработване.
КЗЛД е издала указания и относно биометричните технологии в образователна среда, подчертавайки, че използването на разпознаване на лица в училища изисква убедителна обосновка предвид характера на биометричните данни като специална категория и уязвимостта на децата като субекти на данни.
Възраст за цифрово съгласие
България определи възрастта за цифрово съгласие на 14 години, по-ниска от стандартните 16 години по GDPR, но в рамките на допустимия диапазон по чл. 8, § 1 от GDPR (който позволява на държавите членки да намалят прага до 13 години). През март 2022 г. КЗЛД публикува информационна брошура с подробни изисквания: съгласието за онлайн услуги за деца трябва да бъде събирано за всяка дейност по обработване поотделно, чрез активни интерфейси за положителен избор (без предварително отметнати квадратчета) и при стриктно прилагане на принципите за минимизиране на данните. Децата под 14 години се нуждаят от съгласие на родител или настойник за обработване на основание съгласие в услуги на информационното общество.
Права на субектите на данни
Съгласно GDPR и ЗЗЛД, физическите лица в България разполагат със следните права:
- Право на достъп (чл. 15): Физическите лица могат да поискат потвърждение дали техните данни се обработват и да получат копие от тях. Първото искане е безплатно. КЗЛД може да начисли разумна такса за последващи искания, които са явно неоснователни или прекомерни.
- Право на коригиране (чл. 16): Физическите лица могат да поискат коригиране на неточни данни и допълване на непълни данни.
- Право на изтриване (чл. 17): Известно още като „правото да бъдеш забравен". Прилага се, когато данните вече не са необходими, съгласието е оттеглено (и не съществува друго основание) или обработването е неправомерно. Съществуват изключения за правни претенции, обществен интерес и архивиране.
- Право на ограничаване на обработването (чл. 18): Прилага се при спорове относно точността, когато обработването се оспорва или когато субектът на данни се нуждае от данните за правни претенции.
- Право на преносимост на данните (чл. 20): Прилага се, когато обработването се основава на съгласие или изпълнение на договор и се извършва по автоматизиран начин.
- Право на възражение (чл. 21): Прилага се към обработване на основание изпълнение на задача от обществен интерес или легитимни интереси. Осигурява и абсолютно право на възражение срещу директен маркетинг по всяко време.
Исканията трябва да бъдат подадени писмено, с посочена дата и подпис. ЗЗЛД запазва стандартните изключения по GDPR за журналистически, академични, художествени и литературни цели на изразяване. Администраторите трябва да отговорят на исканията на субектите на данни без ненужно забавяне и в срок от един месец, който може да бъде удължен с още два месеца за сложни искания.
Лица, чиито права са отказани или пренебрегнати, могат да подадат жалба до КЗЛД, което е безплатно, или да потърсят съдебна защита пред българските съдилища съгласно чл. 79 от GDPR.
Изисквания за длъжностно лице по защита на данните
Назначаването на длъжностно лице по защита на данните (ДЛЗД) в България следва чл. 37 от GDPR без допълнителни национални изисквания. ДЛЗД трябва да бъде назначено, когато:
- администраторът или обработващото лице е публичен орган или структура (с изключение на съдилища, действащи в съдебното си качество)
- основната дейност се състои от операции по обработване, изискващи редовно и систематично мащабно наблюдение на субектите на данни
- основната дейност се състои от мащабно обработване на специални категории данни (чл. 9) или данни за присъди и престъпления (чл. 10)
КЗЛД поддържа публичен регистър на администраторите и обработващите лица, назначили ДЛЗД. Администраторите трябва да уведомят КЗЛД за данните на ДЛЗД чрез одобрени формуляри за регистрация. Организациите, установени в България, могат да назначат ДЛЗД, намиращо се в чужбина, но то трябва да бъде регистрирано в КЗЛД.
ДЛЗД не могат да бъдат освобождавани или санкционирани за изпълнението на функциите си и трябва да докладват пряко на висшето ръководство на организацията. Те могат да бъдат наети от организацията (вътрешно ДЛЗД) или да действат по силата на договор за услуги (външно ДЛЗД). Споделени ДЛЗД в група предприятия са допустими, при условие че ДЛЗД е лесно достъпно от всяко от предприятията.
Уведомяване за пробив в сигурността на данните
В България се прилагат стандартните изисквания на GDPR за уведомяване при пробив в сигурността на данните. Администраторите трябва да уведомят КЗЛД за пробив в сигурността на личните данни без ненужно забавяне и не по-късно от 72 часа след узнаването за него, освен ако е малко вероятно пробивът да породи риск за правата и свободите на физическите лица. Когато уведомлението не може да бъде подадено в срок от 72 часа, то трябва да бъде придружено от обяснение за забавянето.
Когато е вероятно пробивът да породи висок риск за правата и свободите на физическите лица, администраторът трябва също така да уведоми засегнатите лица без ненужно забавяне. КЗЛД предоставя образци на формуляри за уведомяване. Комисията поддържа непубличен регистър на пробивите в сигурността на личните данни.
Пробивът в НАП подчерта сериозния подход на КЗЛД към разследването на пробиви. Комисията провери не само дали уведомлението е своевременно, но и дали основната архитектура за сигурност е адекватна съгласно чл. 32 от GDPR.
Докладване на инциденти по NIS2 (от февруари 2026 г.)
Отделно от това, българският Закон за киберсигурност беше изменен, за да транспонира Директива NIS2 (Директива (ЕС) 2022/2555), като измененията влязоха в сила на 17 февруари 2026 г. Съществените и важните субекти трябва да уведомяват CERT.bg за значими инциденти в киберсигурността в следните срокове:
- 24 часа: ранно предупреждение при установяване на значим инцидент
- 72 часа: подробно уведомление с първоначална оценка на въздействието
- 30 дни: окончателен доклад с пълен анализ на причините и мерките за отстраняване
Когато инцидент в киберсигурността представлява едновременно и пробив в сигурността на личните данни, трябва да бъдат уведомени както CERT.bg, така и КЗЛД. Ако обаче КЗЛД вече е наложила глоба за същото нарушение по законодателството за защита на данните, органът по киберсигурност не следва да налага допълнителна глоба за същото нарушение. Транспонирането на NIS2 в България разшири обхванатите сектори от 8 на 18 и включи в обхвата си приблизително 10 000 до 12 000 субекта. На 7 май 2025 г. България получи официално мотивирано становище от Европейската комисия за неуведомяване за пълното транспониране преди крайния срок през октомври 2024 г., което отразява забавянията в законодателния процес.
Трансграничен трансфер на данни
България следва стандартната рамка на GDPR относно международния трансфер на данни съгласно чл. 44 до чл. 49. Трансферите на лични данни към трети държави извън Европейското икономическо пространство (ЕИП) изискват едно от следните:
- решение за адекватност на Европейската комисия (напр. Рамката на ЕС и САЩ за защита на личните данни, решенията за адекватност на Обединеното кралство, Швейцария)
- подходящи гаранции, като стандартни договорни клаузи, приети от Комисията
- задължителни фирмени правила, одобрени от компетентен надзорен орган
- одобрен кодекс за поведение или механизъм за сертифициране
- дерогации за конкретни ситуации по чл. 49 (с ограничен обхват; не за системни трансфери)
След решението на Съда на Европейския съюз по делото Schrems II (дело C-311/18, Data Protection Commissioner срещу Facebook Ireland и Maximillian Schrems, 16 юли 2020 г.), българските администратори и обработващи лица трябва да извършват оценки на въздействието на трансфера, когато разчитат на стандартни договорни клаузи или задължителни фирмени правила, за да преценят дали законодателството и практиките на приемащата държава осигуряват защита, еквивалентна на стандартите на ЕС. КЗЛД не е издала специфични за България допълнителни указания относно тези оценки извън общите препоръки на ЕКЗД.
Присъединяване към Шенген и обмен на данни чрез ШИС
България се присъедини към Шенгенското пространство поетапно. Контролът по въздушните и морските граници беше премахнат през март 2024 г. Пълноправното членство в Шенген, включително премахването на контрола по сухопътните граници, влезе в сила на 1 януари 2025 г. вследствие на решение на Съвета от 12 декември 2024 г. Пълноправното членство в Шенген дава на българските правоприлагащи органи достъп до Шенгенската информационна система (ШИС), базата данни на ЕС за управление на границите, сътрудничество между правоприлагащите органи и контрол на имиграцията. Цялото обработване на данни чрез ШИС трябва да съответства на Регламент (ЕС) 2018/1861 (ШИС за граничен контрол), Регламент (ЕС) 2018/1862 (ШИС за полицейско сътрудничество) и Директивата за правоприлагане (ЕС) 2016/680, както е транспонирана от ЗЗЛД. Присъединяването към Шенген не променя стандартните правила на GDPR относно търговския трансграничен трансфер на данни, който продължава да се урежда от описаната по-горе рамка.
Наслагване с Регламента на ЕС за изкуствения интелект
Регламентът на ЕС за изкуствения интелект (Регламент (ЕС) 2024/1689) влезе в сила на 1 август 2024 г. и се прилага пряко в България като държава членка на ЕС. Поетапният график за прилагане е следният:
| Дата | Какво се прилага |
|---|---|
| 2 февруари 2025 г. | забранени практики с изкуствен интелект (чл. 5) и задължения за грамотност относно изкуствения интелект (чл. 4) |
| 2 август 2025 г. | задължения за модели на изкуствен интелект с общо предназначение (дял VIII); разпоредби за управление |
| 2 август 2026 г. | основни задължения за повечето високорискови системи с изкуствен интелект (приложения III и IV) |
| 2 август 2027 г. | задължения за прозрачност за определени системи с изкуствен интелект (чл. 50) |
| 2 август 2028 г. | удължен преходен период за високорисков изкуствен интелект, вграден в регулирани продукти |
Регламентът за изкуствения интелект допълва, а не заменя GDPR. Задълженията за защита на данните за системи с изкуствен интелект, обработващи лични данни, продължават да се уреждат от GDPR. Регламентът за изкуствения интелект добавя рисково ориентирано наслагване: високорисковите системи с изкуствен интелект трябва да прилагат системи за управление на качеството, да поддържат техническа документация, да осигуряват човешки надзор и да преминат оценка за съответствие преди пускането им в експлоатация.
Към май 2026 г. България все още не е завършила националната си рамка за прилагане на Регламента за изкуствения интелект. Доклад на българското Министерство на електронното управление потвърди, че не са взети решения относно модела на национална координация, компетентните органи за надзор на пазара или санкционния режим. Формално беше създадена междуведомствена работна група, но не се очаква регулаторната рамка да бъде завършена преди края на 2026 г.
КЗЛД е определена за един от седемте компетентни органа за защита на основните права съгласно Регламента за изкуствения интелект по силата на Решение № 398 на Министерския съвет от 18 юни 2025 г. Другите шест определени органа са Омбудсманът на Република България, Централната избирателна комисия, Комисията за защита от дискриминация, Комисията за защита на потребителите, Държавната агенция за закрила на детето и Изпълнителна агенция „Главна инспекция по труда".
За системи с изкуствен интелект, обработващи лични данни, предприятията, извършващи дейност в България, следва да очакват двоен контрол от органи: КЗЛД, проверяваща съответствието с GDPR, и (след като националната рамка по Регламента за изкуствения интелект бъде въведена) съответният орган за надзор на пазара, проверяващ съответствието с Регламента за изкуствения интелект. Изискванията на GDPR за оценка на въздействието върху защитата на данните по чл. 35 са пряко относими към високорисковите системи с изкуствен интелект. Администраторите следва проактивно да извършват такива оценки за всяка система с изкуствен интелект, която профилира лица, използва биометрични данни или взема автоматизирани решения със значителни последици.
Единен граждански номер (ЕГН)
Единният граждански номер (ЕГН) на България е уникален десетцифрен личен идентификационен номер, присвояван на българските граждани при раждане. ЕГН кодира датата на раждане и пола на притежателя му. Той се използва широко в държавната администрация, здравеопазването, социалните услуги, банковото дело и сделките в частния сектор.
КЗЛД е установила указания, ограничаващи ненужното разкриване на ЕГН. При налагане на административни санкции, като публични порицания, указанията на КЗЛД потвърждават, че решението не следва да разкрива ЕГН на субекта, датата и мястото на раждане, номера на личната карта, точния адрес, лични данни на трети лица или несвързана лична информация.
Съгласно рамката на GDPR, ЕГН представлява лични данни и може да съставлява уникален идентификатор, изискващ защита, аналогична на специалните категории, в зависимост от контекста. Чл. 87 от GDPR изрично позволява на държавите членки да определят условията, при които могат да се обработват национални идентификационни номера. България е приложила това чрез разпоредби на ЗЗЛД, изискващи специфична правна обосновка за обработването на ЕГН, извън общите задължения за минимизиране на данните.
Пробивът в НАП онагледи катастрофалните рискове от разкриването на ЕГН. Тъй като ЕГН кодира информация за раждането и се използва като основен идентификационен ключ в множество държавни бази данни, разкриването му дава възможност за координирана кражба на самоличност, измами и целенасочен фишинг в национален мащаб. Пробивът предизвика обществени призиви за преработване на зависимите от ЕГН системи с цел намаляване на броя на субектите, изискващи и съхраняващи пълния ЕГН.
Видеонаблюдение
ЗЗЛД съдържа специфични разпоредби относно видеонаблюдението, допълващи общата рамка на GDPR. КЗЛД е активна в тази област: 324 от проверките ѝ на място през 2022 г. са били насочени предимно към съответствието на видеонаблюдението. Администраторите, внедряващи системи за видеонаблюдение в България, трябва да:
- установят и документират легитимно основание за наблюдението
- предоставят ясна и видима информация на лицата, влизащи в наблюдаваните зони (допустими са многослойни уведомления за малки табели)
- извършат оценка на въздействието върху защитата на данните, когато е вероятно наблюдението да породи висок риск, включително при мащабно наблюдение на публични пространства
- определят пропорционални срокове за съхранение и изтриват записите, които вече не са необходими
- прилагат контрол на достъпа, ограничаващ кой може да преглежда записите
КЗЛД е разследвала жалби относно видеонаблюдение на работни места, жилищни сгради и търговски помещения и е издавала разпореждания за премахване на камери, които са нямали правна обосновка или са наблюдавали зони, в които лицата имат разумно очакване за неприкосновеност на личния живот.
Скорошни развития 2024-2026 г.
Изменение на ЗЗЛД (август 2024 г.): ЗЗЛД беше изменен с ДВ, бр. 70 от 20 август 2024 г. Към датата на проверка на тази статия, КЗЛД не е публикувала обобщение на английски език на конкретните промени, въведени с това изменение. Практикуващите юристи следва да се консултират с актуалния текст на ЗЗЛД на български език на cpdp.bg или lex.bg.
Закон за защита на лицата, подаващи сигнали (2023 г., продължаващо действие): КЗЛД стана компетентният контролен орган по българския Закон за защита на лицата, подаващи сигнали (влязъл в сила на 4 май 2023 г.). Организации с 50 или повече служители трябва да установят вътрешни канали за подаване на сигнали съгласно закона. КЗЛД упражнява надзор върху задълженията за поверителност и защита на данните, свързани със сигналите, които представляват отделна дейност по обработване, изискваща собствен анализ за съответствие с GDPR.
Транспониране на NIS2 (февруари 2026 г.): Измененията на българския Закон за киберсигурност, транспониращи NIS2, влязоха в сила на 17 февруари 2026 г. Законът разшири списъка на обхванатите сектори, въведе нови срокове за уведомяване при инциденти и включи приблизително 10 000 до 12 000 субекта в задължителното съответствие с изискванията за киберсигурност. Субектите в съществени сектори като енергетика, транспорт, банково дело, здравеопазване, цифрова инфраструктура и водоснабдяване вече имат задължителни изисквания за сигурност, които се пресичат с изискванията за сигурност по GDPR.
Пълно присъединяване към Шенген (януари 2025 г.): България стана пълноправен член на Шенген на 1 януари 2025 г., когато беше премахнат контролът по сухопътните граници. Това активира участието на България в обмена на данни чрез ШИС и увеличи обема на трансграничните потоци от данни на правоприлагащите органи, подлежащи на разпоредбите на ЗЗЛД за транспониране на Директивата за правоприлагане.
Прилагане на Регламента на ЕС за изкуствения интелект (от февруари 2025 г. насам): Забранените практики с изкуствен интелект, включително използването на дистанционна биометрична идентификация в реално време на публични места за целите на правоприлагането (с тесни изключения), са незаконни в България от 2 февруари 2025 г. Българските правоприлагащи и публични органи, използващи системи с изкуствен интелект, трябва да преценят дали техните системи попадат в забранените категории. Определянето на КЗЛД за орган по защита на основните права съгласно Регламента за изкуствения интелект (Решение № 398 на Министерския съвет от 18 юни 2025 г.) ѝ дава официално правомощие да преценява въздействието на внедряванията на изкуствен интелект върху основните права.
Тенденция в прилагането (2024 г.): КЗЛД получи 637 жалби и уведомления през 2024 г. и наложи общо 74 700 лв. (около 38 194 евро) глоби. През 2024 г. на уебсайта на КЗЛД не бяха публикувани индивидуални решения; развитията в прилагането бяха съобщавани чрез двумесечния бюлетин. Намаляването на общия размер на глобите спрямо знаковите санкции от 2019 г. отразява както липсата на сравним по мащаб пробив, така и тенденцията на КЗЛД да разрешава много случаи чрез коригиращи разпореждания, а не чрез финансови санкции.
Ръководство за съответствие за предприятия
Организациите, извършващи дейност в България или обработващи данни на български жители, следва да обърнат внимание на следните области:
1. Картографиране на правните основания. Документирайте правното основание за всяка дейност по обработване. Когато обработването се основава на съгласие, се уверете, че събирането на съгласие отговаря на стандартите по чл. 7 от GDPR. За услуги, насочени към деца, въведете механизми за проверка на възрастта или родителско съгласие, съобразени с прага от 14 години.
2. Назначаване на ДЛЗД. Преценете дали основната дейност на организацията ви отговаря на критериите по чл. 37. Ако се изисква ДЛЗД, регистрирайте назначаването в КЗЛД чрез одобрения формуляр. Ако ДЛЗД се намира извън България, изискването за регистрация продължава да важи.
3. Киберсигурност и поуката от НАП. Глобите на НАП и Банка ДСК показват, че КЗЛД разглежда пропуските в сигурността по чл. 32 като съществени нарушения, заслужаващи значителни санкции. Извършвайте редовни оценки на сигурността. Уверете се, че техническите мерки (криптиране, контрол на достъпа, тестове за проникване, управление на актуализациите) са реално приложени и документирани. Не разчитайте единствено на документация с политики.
4. Боравене с ЕГН. Минимизирайте събирането и съхранението на ЕГН номера. Изключвайте ЕГН от публикувани документи, API отговори и експорт на данни, когато не са строго необходими за целта на обработването. Преценете дали използването на ЕГН от вас попада в специфичните изисквания за оправомощаване по ЗЗЛД.
5. Готовност за реагиране при пробив. Тествайте плановете за реагиране при инциденти. Уверете се, че можете да установите, овладеете и оцените пробив достатъчно бързо, за да изпълните изискването за 72-часово уведомяване на КЗЛД и (от февруари 2026 г.) 24-часовото ранно предупреждение до CERT.bg за субекти, обхванати от NIS2. Поддържайте документиран вътрешен регистър на пробивите дори за такива с нисък риск, които не изискват регулаторно уведомяване.
6. Видеонаблюдение. Прегледайте внедряванията на видеонаблюдение за правно основание, информационни табели и пропорционалност. Вълната от проверки на КЗЛД през 2022 г. беше насочена в голяма степен към наблюдението. Новите внедрявания следва да включват предварителна оценка на въздействието върху личния живот.
7. Директен маркетинг. Уверете се, че маркетингът по електронна поща към индивидуални български абонати разполага с предварително изрично съгласие, както се изисква от Закона за електронните съобщения. Поддържайте записи за оттегляне на съгласие и спазвайте отказите без забавяне.
8. Системи с изкуствен интелект. Извършете предварителна класификация на риска по Регламента за изкуствения интелект за всяка система с изкуствен интелект, използвана в България. Забранените практики (включително определени системи за биометрична идентификация и социално оценяване) са незаконни от 2 февруари 2025 г. Високорисковите системи изискват оценки на въздействието по GDPR и, от август 2026 г., оценка за съответствие по Регламента за изкуствения интелект. Следете указанията на КЗЛД, доколкото ролята ѝ на орган по защита на основните права по Регламента се развива.
9. Съответствие с NIS2. Ако вашата организация е съществен или важен субект съгласно българския Закон за киберсигурност (изменен през февруари 2026 г.), регистрирайте се при съответния компетентен орган, приложете необходимите мерки за сигурност и установете процедури за докладване на инциденти.
10. Трансграничен трансфер. При трансфер на данни извън ЕИП документирайте механизма за трансфер. За стандартни договорни клаузи или задължителни фирмени правила извършвайте оценка на въздействието на трансфера. Следете регистъра на решенията за адекватност на Европейската комисия за актуализации.
Отказ от отговорност: Тази статия предоставя обща информация относно българското законодателство за защита на данните и не представлява правен съвет. Законодателството за защита на данните подлежи на чести промени. Консултирайте се с квалифициран юрист, лицензиран да практикува в България, за насоки относно вашата конкретна ситуация. Цитираните в тази статия нормативни актове отразяват действащата им редакция към 19.05.2026 г.
Frequently Asked Questions
Кой е основният закон за защита на данните в България?
Основното национално законодателство за защита на данните в България е Законът за защита на личните данни (ЗЗЛД), обнародван в ДВ, бр. 17 от 26 февруари 2019 г. и последно изменен в ДВ, бр. 70 от 20 август 2024 г. ЗЗЛД допълва пряко приложимия GDPR на ЕС, като урежда области, в които правото на ЕС позволява национална преценка, включително структурата и правомощията на КЗЛД, възрастта за цифрово съгласие (14 години), разпоредбите относно видеонаблюдението, изключенията за журналистическо изразяване и транспонирането на Директивата за правоприлагане.
Какво представлява КЗЛД и какви правомощия има тя?
Комисията за защита на личните данни (КЗЛД) е независимият надзорен орган на България по защита на данните съгласно чл. 51 от GDPR. Тя се състои от председател и четирима членове, избирани от парламента за петгодишен мандат. КЗЛД може да разследва жалби, да извършва проверки на място, да издава предупреждения и разпореждания за привеждане в съответствие, да налага забрани за обработване и да налага административни глоби до 20 млн. евро или 4% от глобалния годишен оборот. Председателят на КЗЛД участва в Европейския комитет по защита на данните като представител на България.
Какъв беше пробивът в данните на НАП и каква беше глобата?
През 2019 г. Националната агенция за приходите (НАП) на България претърпя кибератака, при която хакер получи отдалечен неправомерен достъп до сървърите на НАП и извлече личните данни на около 6 074 140 лица, представляващи почти цялото пълнолетно население на България. Откраднатите данни включваха имена, ЕГН, адреси, доходи и данни за данъци и осигуровки. КЗЛД установи, че НАП не е приложила адекватни технически и организационни мерки за сигурност съгласно чл. 32 от GDPR, и наложи глоба от 5 100 000 лв. (около 2 550 000 евро).
Какво представлява ЕГН и как е защитен съгласно българското законодателство?
ЕГН (Единен граждански номер) е уникалният десетцифрен номер на България, присвояван на гражданите при раждане, който кодира датата на раждане и пола на притежателя. Той се използва широко в държавната администрация, здравеопазването, банковото дело и системите на частния сектор. Съгласно ЗЗЛД и чл. 87 от GDPR (който позволява национални правила относно идентификационните номера), обработването на ЕГН изисква специфична правна обосновка. КЗЛД е издала указания, ограничаващи ненужното разкриване на ЕГН в официални санкции и други публични документи. Пробивът в НАП онагледи сериозните рискове от измами с идентичността при разкриване на ЕГН.
Каква е възрастта за цифрово съгласие в България?
България определи възрастта за цифрово съгласие за услуги на информационното общество на 14 години, по-ниска от стандартните 16 години по GDPR, но в рамките на допустимия диапазон по чл. 8, § 1 от GDPR (който позволява на държавите членки да намалят прага до минимум 13 години). Децата под 14 години се нуждаят от съгласие на родител или настойник за обработване на основание съгласие. Указанията на КЗЛД от март 2022 г. изискват отделно съгласие за всяка дейност по обработване, активни интерфейси за съгласие и стриктно минимизиране на данните за услуги, насочени към деца.
Нуждае ли се предприятие, извършващо дейност в България, от длъжностно лице по защита на данните?
ДЛЗД е задължително, когато: (1) организацията е публичен орган или структура (с изключение на съдилища, действащи в съдебното си качество); (2) основната дейност изисква редовно и систематично мащабно наблюдение на субектите на данни; или (3) основната дейност включва мащабно обработване на специални категории данни или данни за съдимост. България не налага допълнителни изисквания за ДЛЗД извън чл. 37 от GDPR. Ако се изисква ДЛЗД, назначаването му трябва да бъде регистрирано в КЗЛД чрез одобрения формуляр за регистрация, дори ако ДЛЗД се намира извън България.
Как Регламентът на ЕС за изкуствения интелект засяга предприятията в България?
Регламентът на ЕС за изкуствения интелект (Регламент (ЕС) 2024/1689) се прилага пряко в България. Забранените практики с изкуствен интелект, включително определени случаи на дистанционна биометрична идентификация в реално време на публични места и системи, които експлоатират уязвимости или извършват социално оценяване, са незаконни от 2 февруари 2025 г. Основните задължения за високорискови системи с изкуствен интелект се прилагат от 2 август 2026 г. КЗЛД е определена за един от седемте компетентни органа за защита на основните права по Регламента. Предприятията следва да класифицират системите си с изкуствен интелект по риск, да извършват оценки на въздействието за високорисковите системи и да следят развиващите се указания на КЗЛД.
Какво е значението на делото Екимджиев и други срещу България за защитата на данните?
Делото Екимджиев и други срещу България (жалба № 70078/12, ЕСПЧ, 11 януари 2022 г.) установи, че българското законодателство за тайно наблюдение нарушава чл. 8 от ЕКПЧ, тъй като не осигурява ефективни гаранции срещу произвол и злоупотреба. Съдът установи нарушения и в правилата относно съхранението на трафични данни от далекосъобщения и достъпа на правоприлагащите органи до тях. Решението изисква всяко обработване на лични данни от българските разузнавателни или правоприлагащи органи, което остава извън разпоредбите на ЗЗЛД за транспониране на Директивата за правоприлагане, самостоятелно да отговаря на стандарта за качество на закона по ЕКПЧ.
Какви са правилата на България относно трансграничния трансфер на данни?
България не налага ограничения относно трансграничния трансфер на данни извън рамката на GDPR по чл. 44 до чл. 49. Трансферите извън ЕИП изискват решение за адекватност, подходящи гаранции (стандартни договорни клаузи, задължителни фирмени правила, одобрен кодекс/сертификация) или приложима дерогация по чл. 49. След решението по делото Schrems II, администраторите и обработващите лица, разчитащи на стандартни договорни клаузи или задължителни фирмени правила, трябва да извършват оценки на въздействието на трансфера относно законодателството и практиките на приемащата държава. Пълното присъединяване на България към Шенген през януари 2025 г. активира участието ѝ в обмена на данни чрез ШИС, уреден от специализирани регламенти на ЕС.
Кои сектори са обект на най-строг контрол от страна на КЗЛД в България?
Според годишните доклади на КЗЛД, жалбите и уведомленията се отнасят предимно до електронни съобщения, пощенски оператори, онлайн залагания, услуги за бързи кредити, частни съдебни изпълнители и директен маркетинг. Програмата за проверки от 2022 г. беше насочена в голяма степен към видеонаблюдението. Докладът за 2024 г. показва 637 жалби и уведомления с общо наложени глоби от 74 700 лв. (около 38 194 евро). Организациите в секторите с висок брой жалби следва да извършват проактивни прегледи на съответствието, вместо да чакат жалба, която да предизвика проверка от КЗЛД.
Какви са наказателните санкции за нарушения на защитата на данните в България?
Освен административните глоби по GDPR и ЗЗЛД, българският Наказателен кодекс предвижда наказателна отговорност за определени нарушения при защитата на данните. Разгласяването на лични данни, получени чрез неправомерен достъп до компютърна система, или предаването на пароли по начин, позволяващ неправомерно разгласяване на данни, може да доведе до лишаване от свобода до три години. Неправомерният достъп до компютърна система, съдържаща лични данни, може да доведе до лишаване от свобода до две години. Тези наказателноправни санкции съществуват успоредно, а не вместо административните производства пред КЗЛД.
Как пълното присъединяване на България към Шенген засегна защитата на данните?
България стана пълноправен член на Шенгенското пространство на 1 януари 2025 г., когато контролът по сухопътните граници беше премахнат съгласно решение на Съвета от 12 декември 2024 г. Пълноправното членство активира достъпа на България до Шенгенската информационна система (ШИС). Цялото обработване на лични данни чрез ШИС трябва да съответства на Регламент (ЕС) 2018/1861 (ШИС за граничен контрол), Регламент (ЕС) 2018/1862 (ШИС за полицейско сътрудничество) и Директивата за правоприлагане, както е транспонирана от ЗЗЛД. Присъединяването към Шенген не променя стандартните правила на GDPR относно търговския трансграничен трансфер на данни.
Sources and References
- КЗЛД - Комисия за защита на личните данни (официален сайт)(cpdp.bg).gov
- КЗЛД - Закон за защита на личните данни (ЗЗЛД)(cpdp.bg).gov
- GDPR - Регламент (ЕС) 2016/679 (EUR-Lex)(eur-lex.europa.eu).gov
- Регламент на ЕС за изкуствения интелект - Регламент (ЕС) 2024/1689 (EUR-Lex)(eur-lex.europa.eu).gov
- Екимджиев и други срещу България, жалба № 70078/12 (ЕСПЧ, 11 януари 2022 г.)(hudoc.echr.coe.int).gov
- Linklaters - Защита на данните: България(linklaters.com)
- CMS - Закони за защита на данните и киберсигурност в България(cms.law)
- CMS - Проследяване на прилагането на GDPR: България(cms.law)
- Pinsent Masons - Глоби по GDPR за пробиви в данните в България(pinsentmasons.com)
- Wolf Theiss - България глобява с милиони за пробиви в личните данни(wolftheiss.com)
- INPLP - Значителни глоби, наложени от българската КЗЛД(inplp.com)
- Kinstellar - България въвежда дерогации от GDPR(kinstellar.com)
- Kinstellar - Дългият път на България към NIS2 приключи(kinstellar.com)
- Европейска комисия - България и Румъния се присъединяват към Шенгенското пространство(home-affairs.ec.europa.eu).gov
- Съвет на ЕС - решение относно сухопътните граници по Шенген (декември 2024 г.)(consilium.europa.eu).gov
- БТА - България все още няма надзор над високорисковите системи с изкуствен интелект(bta.bg)
- GDPRhub - Защита на данните в България(gdprhub.eu)
- ЕКЗД - Европейски комитет по защита на данните(edpb.europa.eu).gov