Глоби по GDPR в България — размери, примери и как да ги избегнете [2026]

От |Публикувано на: 17.03.2026|Обновено на: 24.03.2026|
Актуално към март 2026 г.  ·  Автор: Станимир Ненов (актуализирано)  ·  Време за четене: ~9 мин.

Глобите по GDPR не са теоретична заплаха. Те се налагат и в България — както на големи институции и банки, така и на по-малки администратори на лични данни. Дори един недоволен клиент, служител или кандидат за работа може да подаде жалба и да задейства проверка. В тази статия ще видиш какви са нивата на санкциите по GDPR, как работи контролът от КЗЛД, за какви нарушения най-често се санкционира и как practically да намалиш риска.

Двете нива на глоби по GDPR

GDPR предвижда два основни прага на административни санкции, в зависимост от тежестта на нарушението:

Ниво 1 — до 10 млн. евро или до 2% от световния годишен оборот

Това ниво обичайно обхваща по-скоро организационни и процедурни нарушения, например:

  • липса на подходящи договорни отношения с обработващи, когато са нужни;
  • липса на достатъчни организационни и технически мерки;
  • неизпълнение на задължения, свързани с отчетност и документация;
  • липса на DPIA, когато такава е необходима;
  • нарушения по чл. 30, чл. 32, чл. 35 и сходни разпоредби.

Ниво 2 — до 20 млн. евро или до 4% от световния годишен оборот

Това е по-тежкият диапазон и обичайно се прилага при нарушения на основните принципи и права, например:

  • обработка без валидно правно основание;
  • невалидно съгласие;
  • нарушаване правата на субектите на данни;
  • незаконосъобразен трансфер на данни извън ЕС/ЕИП;
  • нарушение на принципите за законосъобразност, прозрачност, свеждане до минимум и ограничение на целите.

Важно: Максималните суми не означават, че всяка фирма ще получи подобна санкция. Но означават, че GDPR третира нарушенията на личните данни като сериозен регулаторен риск, включително за малкия бизнес.

Как КЗЛД налага санкции в България

В България надзорният орган е Комисията за защита на личните данни (КЗЛД). Тя може да започне производство:

  • по жалба или сигнал от физическо лице;
  • по собствена инициатива — например при инцидент, публичен скандал, медийна публикация или секторен риск.

По официалния годишен отчет на КЗЛД за 2024 г. комисията е била сезирана с над 1080 жалби. Това показва, че проверките не са рядкост и че жалбите продължават да бъдат реален източник на контролен риск.

Обичайният ход е: проверка → събиране на документи и обяснения → преценка за нарушение → корективна мярка и/или санкция. В зависимост от случая могат да бъдат изискани регистър по чл. 30, политики, договори с обработващи, доказателства за съгласия, вътрешни правила, журнали за достъп, данни за breach инциденти и други.

Важно: Ако настъпи нарушение на сигурността на личните данни, в определени случаи имаш задължение да уведомиш КЗЛД в срок до 72 часа. Самото неподаване на уведомление навреме може да се превърне в отделен проблем.

Реални примери за санкции в България

Българската практика вече познава и много сериозни санкции.

НАП — 5,1 млн. лв.

Един от най-известните примери е санкцията срещу Националната агенция за приходите, наложена след мащабния инцидент с изтичане на данни. Казусът показа, че КЗЛД е готова да налага много значителни санкции при сериозен пробив в сигурността и недостатъчни мерки за защита.

Банка ДСК — 1 млн. лв.

Друг знаков пример е санкцията срещу Банка ДСК, свързана с неправомерен достъп и разкриване на лични данни. Този казус е показателен, че санкциите не са насочени само към публичния сектор.

Освен големите публични случаи, реалният контрол засяга и значително по-малки дружества — особено при липса на правно основание, лошо документиране, проблеми с маркетингови съгласия, неправилен cookie setup и неизпълнение на искания от субекти на данни.

Практически извод: Не е нужно да си голяма компания, за да имаш GDPR риск. За малкия бизнес дори сравнително „умерена“ санкция може да се окаже тежка, ако липсват документи и процеси.

Най-честите нарушения, за които се санкционира

  1. Липса на прозрачност. Няма Privacy Policy или тя е бланкетна, непълна или не съответства на реалните процеси.
  2. Липса на регистър по чл. 30. Това е сред първите документи, които се искат при проверка.
  3. Обработка без валидно основание. Например маркетинг без валидно съгласие или прекомерно събиране на данни без ясна цел.
  4. Лошо управление на бисквитки и маркетингови инструменти. Пиксели и аналитика се зареждат преди валиден избор, а сайтът не може да докаже какво съгласие е получено.
  5. Липса на договори/правилно уреждане на отношенията с обработващи.
  6. Нарушения на сигурността и слаб контрол на достъпа.
  7. Неуважаване или забавяне на искания по чл. 15–22 GDPR.
  8. Липса на готовност за data breach.

Как да намалиш риска: 5 конкретни стъпки

  1. Направи реален GDPR одит. Изясни какви данни събираш, на какво основание, за какви цели и на кого ги предоставяш.
  2. Подреди документацията. Privacy Policy, Cookie Policy, вътрешни правила, регистър по чл. 30, процедури за права и за инциденти, отношения с обработващи.
  3. Провери сайта и marketing stack-а. Това включва формуляри, пиксели, аналитика, бюлетин, CRM и логиката за consent.
  4. Обучи екипа. Много GDPR проблеми тръгват от човешка грешка, а не от „лошо намерение“.
  5. Поддържай документите актуални. Ако сайтът, системите или процесите са се променили, документите също трябва да се променят.

Добра практика: GDPR съответствието не е еднократно действие, а процес. Документите са основата, но те трябва да съответстват на реалната работа на бизнеса.

Не чакай проверката — подготви се сега

Изготвяме пълен пакет GDPR документи, съобразен с конкретната дейност на твоя бизнес — без шаблони, с преглед на реалните рискове и процеси.

Направи запитване

Попълваш въпросник за 2 мин. → Получаваш оферта → Документи готови за 2 работни дни.

Свързани теми

За автора: Станимир Ненов

Станимир Ненов
Основател и управител на Advokatami.bg