GDPR за онлайн магазин: Пълно ръководство за 2026 г.

От Станимир Ненов|Публикувано на: 17.03.2026|Обновено на: 24.03.2026|

Актуално към март 2026 г. · Автор: Станимир Ненов (актуализирано) · Време за четене: ~9 мин.

Ако продаваш онлайн, ти почти сигурно обработваш лични данни — и попадаш в обхвата на GDPR. Имена, адреси за доставка, имейли, телефони, IP адреси, бисквитки, история на поръчките, комуникация с клиенти — всичко това може да бъде лични данни по смисъла на Регламент (ЕС) 2016/679. В тази статия ще видиш какво точно трябва да направи един онлайн магазин по GDPR, какви документи са му нужни и кои са най-честите грешки, които водят до риск при проверка.

Защо GDPR е задължителен за всеки онлайн магазин

GDPR се прилага пряко в България от 25 май 2018 г. и важи за всяка организация, която обработва лични данни. Ако имаш онлайн магазин, ти обработваш данни още с първата поръчка — дори да си малък бизнес и дори да използваш готова платформа.

В повечето случаи именно ти си администраторът на лични данни, защото ти решаваш защо и как ще се обработват данните на клиентите. Платформата, хостингът, бюлетин системата или чат инструментът не поемат автоматично твоята роля и отговорност.

Важно: Ако използваш Shopify, WooCommerce, OpenCart, CloudCart или друга платформа, това не означава, че платформата е „отговорна вместо теб“. Тя може да е обработващ или отделен администратор за част от процесите, но отговорността на онлайн магазина остава реална.

При онлайн търговията правните основания за обработка обикновено са няколко:

изпълнение на договор — за приемане, обработка и доставка на поръчката;
законово задължение — например за фактуриране, счетоводство и съхраняване на документи;
легитимен интерес — например за ограничени мерки срещу злоупотреби и защита на системите;
съгласие — обичайно за бюлетини, маркетинг и за бисквитки/инструменти, когато това е необходимо.

Какви лични данни събира онлайн магазинът

Повечето онлайн магазини събират повече данни, отколкото изглежда на пръв поглед. Най-често това са:

При поръчка и регистрация

име и фамилия;
адрес за доставка и/или фактуриране;
телефон и имейл;
данни за поръчките и история на покупките;
фирмени данни за фактура, когато клиентът ги предоставя.

Чрез самия сайт

IP адрес;
идентификатори от бисквитки и сходни технологии;
данни за поведението на сайта чрез аналитични и маркетингови инструменти;
данни от контактни форми, чатове, бюлетин или профил в сайта.

Чрез трети страни

куриерски оператори;
платежни доставчици;
хостинг доставчици;
email marketing платформи;
CRM, helpdesk или чат системи;
счетоводни и ERP решения.

Ключов нюанс: Не всяко трето лице е автоматично „обработващ лични данни“. За част от тях ще е нужен договор по чл. 28 GDPR, но за други — например куриер, платежен оператор или счетоводител — ролята може да е отделен администратор или да изисква отделен правен анализ. Това трябва да се преценява конкретно, а не по шаблон.

Задължителни GDPR документи

За да бъде един онлайн магазин в добро ниво на GDPR съответствие, обичайно е нужен пакет от външни и вътрешни документи. Основните са:

Политика за защита на личните данни (Privacy Policy) — публикувана на сайта, с информация по чл. 13 и при нужда по чл. 14 GDPR.
Политика за бисквитки — отделна или ясно разграничена секция, която описва видовете бисквитки и начина за управление на избора.
Настройка за валидно consent управление — cookie banner/consent management решение, съобразено с реално използваните инструменти. Ако използваш Google тагове за трафик от ЕИП, трябва да предаваш consent сигнали към Google по техните изисквания.
Регистър на дейностите по обработване — вътрешен документ по чл. 30 GDPR, който в много случаи е задължителен и при проверка често се иска на първо място.
Вътрешни правила за обработка и защита на личните данни — организационна рамка за работа с данни в дружеството.
Договори/клаузи с обработващи лични данни — когато реално използваш обработващи по смисъла на чл. 28 GDPR.
Процедура за упражняване правата на субектите — достъп, коригиране, изтриване, ограничаване, преносимост, възражение.
Процедура при нарушение на сигурността — как се открива, оценява и ескалира data breach, включително кога се уведомява КЗЛД.
Маркетингови съгласия и логика за доказване — особено ако събираш абонаменти за бюлетин или правиш директен маркетинг.
Декларации и правила за конфиденциалност за екипа — ако служители или подизпълнители имат достъп до клиентски данни.

Важно: Общите условия на онлайн магазина не заместват GDPR документацията. Те уреждат търговските отношения с клиента. Privacy Policy, Cookie Policy, регистърът по чл. 30 и вътрешните правила са отделен блок документи.

Правата на клиентите — какво трябва да осигуриш

По GDPR клиентите имат конкретни права и онлайн магазинът трябва да може да реагира на исканията им в законоустановения срок:

право на достъп — какви данни обработваш и защо;
право на коригиране — при неточни или непълни данни;
право на изтриване — когато са налице условията по чл. 17 GDPR;
право на ограничаване — при определени хипотези;
право на преносимост — когато е приложимо;
право на възражение — особено срещу директен маркетинг.

Стандартният срок за отговор е един месец. Ако нямаш вътрешна процедура, лесно можеш да изпуснеш срок, да отговориш непълно или изобщо да не знаеш какво да правиш при искане за изтриване или достъп.

Чести грешки на онлайн магазините

Предварително отметнати чекбоксове. Това не е валидно съгласие за маркетинг.
Маркетингови и аналитични инструменти се зареждат преди валиден избор.
Копирана Privacy Policy. Политика, писана за друг бизнес, почти винаги не описва реалните ти процеси.
Всички трети лица са „сложени под общ знаменател“. Без реална преценка кой е обработващ и кой е отделен администратор.
Липса на регистър по чл. 30 или липса на реално попълнен такъв.
Липса на работещ процес за права на субектите.
Липса на breach процедура. При инцидент няма време да измисляш процеса от нулата.
Остарели документи. Сайтът се е променил, но документите са останали от преди години.

Какво да очакваш при проверка от КЗЛД

Проверка от КЗЛД може да започне по жалба от клиент или по инициатива на самата комисия. При онлайн магазин обичайно се преглеждат както публичните страници на сайта, така и вътрешната документация.

Privacy Policy и Cookie Policy;
доказуемост на съгласията, когато се разчита на съгласие;
регистър на дейностите по обработване;
договори/клаузи с обработващи, когато са нужни;
вътрешни правила и мерки за сигурност;
процедура за data breach и за права на субектите;
реално съответствие между написаното в документите и това, което сайтът прави.

Не чакай жалба: Проверка може да тръгне и от един недоволен клиент, от проблем с бюлетин, от cookie setup или от неотговорено искане за изтриване. Най-скъпият вариант е да започнеш да подреждаш GDPR едва след сигнала.

Готов ли е твоят онлайн магазин за GDPR?

Изготвяме пълен пакет GDPR документи, съобразен с конкретната дейност на твоя онлайн магазин — без шаблони, с реален анализ на процесите, ролите на третите лица и начина, по който сайтът ти работи.

Направи запитване

Попълваш въпросник за 2 мин. → Получаваш оферта → Документи готови за 2 работни дни.

Свързани теми

GDPR документи и защита на лични данни за бизнеса — основна страница на услугата
Общи условия и Политики за сайт и онлайн магазин

За автора: Станимир Ненов

Основател и управител на Advokatami.bg

Много сме доволни, два пъти работим с Вас и Ви благодарим за професионализма и бързината, с която работите!

Ванина Иванова

Силно препоръчвам сайта, ако имате нужда от консултация или вид документ. На мен ми свърши идеална работа.

Васил Гачев

Прекрасно обслужване. Спестяват часове, дни и стотици левове за адвокатски услуги. Ползвам ги постоянно.

Мирослав Запорожанов