КЗЛД · GDPR · Електронна търговия · Юни 2026

GDPR одит на онлайн магазин: 23-те точки, които КЗЛД и клиентите ви проверяват първи

Онлайн магазинът събира повече лични данни от която и да е офлайн фирма със същия оборот: имена, адреси за доставка, телефони, история на поръчките, поведение на сайта, бисквитки за проследяване, данни от ремаркетинг. Всеки от тези потоци е основание за жалба до КЗЛД и за санкция по чл. 83 GDPR. Тази публикация е практически контролен лист от 23 точки за управители на електронни магазини в България: какво проверява надзорният орган, кои документи са задължителни, кои бисквитки изискват съгласие, какви договори трябва да имате с доставчиците си, как се отговаря на искане за достъп в срок и какво струва един реален GDPR одит.

Основни изводи

• Най-честата жалба до КЗЛД срещу онлайн магазин не е за хакерска атака, а за проследяващи бисквитки без съгласие и за непоискани рекламни имейли. И двете се откриват за минути от браузъра на жалбоподателя и не изискват никаква техническа експертиза, за да бъдат доказани
• Бисквитките за Google Analytics, Meta Pixel и ремаркетинг изискват предварително информирано съгласие преди да се заредят. Банер, който се появява след като скриптовете вече са се изпълнили, или който има само бутон "Приемам", не е валидно съгласие по GDPR и практиката на КЗЛД
• Всеки доставчик, който докосва клиентските ви данни - платформата (Shopify, WooCommerce хостинг), счетоводната програма, куриерът, имейл платформата, чат инструментът - е обработващ лични данни и изисква писмен договор по чл. 28 GDPR. Липсата на такъв договор е самостоятелно нарушение, независимо дали е имало инцидент
• Искане за достъп, изтриване или преносимост от клиент трябва да получи отговор в срок до един месец. Магазин без процедура за обработка на такива искания почти винаги пропуска срока, а пропуснатият срок сам по себе си е нарушение, което КЗЛД разглежда
• Контролният лист от 23 точки покрива четири области: прозрачност и документи, съгласия и бисквитки, обработващи и договори, права на субектите и сигурност. В над 8 от 10 проверявани магазина поне 6 от 23-те точки са отворени при първия преглед
• Реален GDPR одит на онлайн магазин в България струва между 1 500 и 6 000 лв. в зависимост от мащаба и платформата, и приключва за 2 до 4 седмици с писмен доклад, приоритизиран план за привеждане в съответствие и готови шаблони на задължителните документи

Физическият магазин продава стока срещу пари и в повечето случаи не научава нищо за купувача. Онлайн магазинът прави обратното: за да изпълни една поръчка, той събира име, адрес, телефон, имейл, понякога ЕГН за фактура на физическо лице, история на покупките, IP адрес, устройство и поведение на сайта. Към това се добавят слоевете, които клиентът не вижда: проследяващи бисквитки, пиксели за реклама, инструменти за анализ, чат ботове и платформи за изоставена количка. Всеки от тези слоеве е отделна обработка на лични данни с отделно правно основание, отделен срок за съхранение и отделен риск.

Разликата има практическо значение за надзора. КЗЛД не трябва да влиза в офиса ви, за да открие нарушение в онлайн магазин. Голяма част от съответствието е публично видимо: банерът за бисквитки, политиката за поверителност, формата за съгласие при поръчка, наличието на връзка за отписване в имейлите. Жалбоподател с отворен браузър и инструментите за разработчици може да докаже, че Meta Pixel се е заредил преди да е дал съгласие, без да има достъп до сървъра ви. Това прави онлайн търговията една от най-лесните за проверка категории и една от най-честите в практиката на надзорния орган.

Втората особеност е веригата от доставчици. Дори малък магазин рядко обработва данните си сам. Платформата се хоства някъде, фактурите се издават през счетоводна програма, доставката минава през куриер, бюлетинът тръгва през имейл платформа, рекламата се управлява през Google и Meta. Всеки от тези участници получава част от клиентските данни и по GDPR е обработващ лични данни, с когото трябва да имате писмен договор. Веригата е невидима за клиента, но е напълно проследима за одитор и за надзорен орган.

Третата особеност е обемът спрямо ресурса. Магазин с няколко служители обработва данните на десетки хиляди клиенти. Това поставя онлайн търговията в позиция, в която мащабът на обработката е голям, а административният капацитет за съответствие е малък. Точно затова структурираният контролен лист работи: той превръща абстрактния регламент в конкретни, проверими точки, които малък екип може да затвори една по една.

Преди контролния лист трябва да е ясна една основна идея: всяка обработка на лични данни се нуждае от правно основание по чл. 6 GDPR. За онлайн магазин най-важните три са договорно изпълнение, законово задължение и съгласие, и смесването им е източник на повечето грешки.

Договорно изпълнение покрива всичко, което е необходимо, за да достави магазинът поръчката: обработка на адреса за доставка, телефона за връзка с куриера, имейла за потвърждение на поръчката. За тези данни не е нужно отделно съгласие, защото без тях договорът не може да бъде изпълнен. Грешката тук е да се иска съгласие за нещо, което всъщност е договорно, което обърква клиента и създава впечатление, че може да откаже.

Законово задължение покрива счетоводните и данъчните изисквания: издаването на фактура, съхранението на счетоводни документи за срока, изискван от Закона за счетоводството и данъчното законодателство. Тези данни се пазят дори клиентът да поиска изтриване, защото законът ги изисква, и това трябва да е ясно записано в политиката за поверителност и в сроковете за съхранение.

Съгласие покрива всичко, което не е необходимо за поръчката: бюлетина, проследяващите бисквитки, ремаркетинга, профилирането за персонализирана реклама. Съгласието трябва да е свободно дадено, конкретно, информирано и недвусмислено, и да може да се оттегли също толкова лесно, колкото е дадено. Предварително отметнато квадратче, банер, който блокира сайта докато не натиснете "Приемам", или съгласие, обвързано с изпълнението на поръчката, не са валидно съгласие.

Политиката за поверителност заслужава отделно внимание, защото е най-четеният и най-проверяван документ. Тя трябва да описва кои данни събирате, на какво основание, за колко време ги пазите, на кого ги предавате (поименно изброените обработващи), какви права има клиентът и как да ги упражни, и данните за контакт за въпроси по защита на данните. Копираният от чужд сайт текст, който говори за регулатори и срокове, неприложими в България, е по-вреден от липсващ документ, защото доказва, че реалните обработки никога не са били анализирани.

Това е ядрото на одита. 23-те точки са разделени в четири области. До всяка точка в реалния доклад стои оценка (изпълнено, частично, отворено) и кратко доказателство. По-долу е пълният списък.

А. Прозрачност и документи (точки 1-6)

• 1. Политика за поверителност, описваща реалните потоци данни, а не копиран шаблон.
• 2. Политика за бисквитки с поименен списък на бисквитките, целите и сроковете им.
• 3. Общи условия, синхронизирани с реалния процес на поръчка и доставка.
• 4. Регистър на дейностите по обработване по чл. 30 GDPR.
• 5. Данни за контакт по въпроси на защитата на данните, видими на сайта.
• 6. Оценка дали е необходим DPO (длъжностно лице по защита на данните) предвид мащаба и профилирането.

Б. Съгласия и бисквитки (точки 7-12)

• 7. Банер за бисквитки, който блокира нетехническите бисквитки до получаване на съгласие.
• 8. Равностойни бутони "Приемам" и "Отказвам" на първо ниво на банера.
• 9. Google Analytics, Meta Pixel и ремаркетинг скриптовете не се зареждат преди съгласие.
• 10. Записване и съхранение на доказателство за даденото съгласие (кога, какво, как).
• 11. Съгласието за бюлетин е отделно от поръчката и не е предварително отметнато.
• 12. Връзка за отписване във всеки рекламен имейл, която работи и веднага спира изпращането.

В. Обработващи и договори (точки 13-17)

• 13. Списък на всички обработващи лични данни (платформа, счетоводство, куриер, имейл, чат, реклама).
• 14. Писмен договор по чл. 28 GDPR с всеки обработващ.
• 15. Проверка дали има предаване на данни извън ЕС и на какво основание (стандартни договорни клаузи).
• 16. Контрол на достъпа до клиентските данни в платформата (кой служител какво вижда).
• 17. Поименното изброяване на обработващите в политиката за поверителност съвпада с реалния списък.

Г. Права на субектите и сигурност (точки 18-23)

• 18. Процедура и отговорно лице за искания за достъп, корекция, изтриване и преносимост.
• 19. Спазване на едномесечния срок за отговор на искане на субект.
• 20. Определени и прилагани срокове за съхранение по категории данни.
• 21. Процедура за уведомяване на КЗЛД в 72 часа при нарушение на сигурността.
• 22. Технически минимум: HTTPS, многофакторно удостоверяване за администраторите, актуализирана платформа.
• 23. Криптиране или ограничен достъп до резервните копия и до експортите с клиентски данни.

Бисквитките са едновременно най-честото нарушение и най-лесното за доказване. Правилото е просто, но често неразбрано: бисквитките, които са строго необходими за работата на сайта (кошница, сесия, език), не изискват съгласие. Всички останали - анализ, реклама, ремаркетинг, вграждания от социални мрежи, A/B тестове - изискват изрично, предварително съгласие, преди съответният скрипт изобщо да се зареди.

Тук е разликата между формално и реално съответствие. Много магазини слагат банер за бисквитки, но скриптовете на Google Analytics и Meta Pixel са твърдо вградени в кода на страницата и се изпълняват при първото зареждане, независимо какво натисне посетителят. Банерът в този случай е украса: данните вече са изпратени към трета страна, преди клиентът да е имал избор. Одиторът проверява това не по наличието на банер, а като отвори сайта с инструментите за разработчици и види кои заявки тръгват преди и след съгласието.

Втората страна на проследяването е ремаркетингът. Когато качите списък с имейли на клиенти в рекламна платформа, за да им показвате реклами, вие предавате лични данни към трета страна за цел, която не е необходима за поръчката. Това изисква отделно правно основание и прозрачност към клиента. Магазин, който прави ремаркетинг, без това да е описано в политиката и без основание, рискува жалба не само за бисквитки, но и за непрозрачно предаване на данни.

Практическият извод: банерът за бисквитки не е правен документ, който се копира веднъж и се забравя. Той е техническа функция, която трябва реално да блокира скриптовете до съгласие, да записва избора и да позволява оттеглянето му. Това е първата точка, която проверяваме при всеки одит на онлайн магазин, защото е и първата, която проверява всеки жалбоподател.

Всеки външен доставчик, който обработва клиентски данни от ваше име, е обработващ лични данни. По чл. 28 GDPR администраторът (магазинът) е длъжен да има писмен договор с всеки от тях, който урежда предмета, срока, целта, видовете данни, задълженията на обработващия и мерките за сигурност. Липсата на такъв договор е самостоятелно нарушение, дори никога да не е имало изтичане на данни.

Първата стъпка е да съставите пълен списък. За типичен български онлайн магазин той почти винаги включва: платформата или хостинга (включително SaaS платформи като Shopify, или хостинг доставчика при WooCommerce), счетоводната програма или счетоводната кантора, куриерската фирма, платформата за имейл маркетинг, инструмента за чат на живо, и рекламните платформи. Много магазини са изненадани колко дълъг става списъкът, когато се изброи честно.

Вторият въпрос е предаването на данни извън ЕС. Част от популярните платформи и рекламни инструменти обработват данни в трети държави. Когато това е така, трябва да има подходящо основание за трансфера, например стандартни договорни клаузи, и това да е описано в политиката за поверителност. Одиторът проверява не само дали договорът съществува, а и дали реалното местоположение на обработката съвпада с декларираното.

Третият въпрос е вътрешният достъп. Дори всички външни договори да са налице, ако всеки служител има пълен достъп до цялата клиентска база през администраторския панел на платформата, рискът остава висок. Контролът на достъпа по роли, така че всеки да вижда само това, което му е нужно за работата, е част от мерките за сигурност по чл. 32 и точка от контролния лист.

GDPR дава на всеки клиент конкретни права: достъп до данните, които съхранявате за него, корекция, изтриване, ограничаване, преносимост и възражение срещу обработка за маркетинг. Магазинът е длъжен да отговори на искане в срок до един месец, който може да се удължи с два месеца при сложни случаи, но само с уведомяване на клиента в първоначалния срок. Мълчанието не е опция и пропуснатият срок сам по себе си е нарушение.

Практическият проблем не е правният, а организационният. Искането пристига на общия имейл, никой не е назначен да го обработва, и то се губи между поръчките и въпросите за доставка. Решението е процедура: определено лице или роля, входяща точка, регистър на исканията със срокове, и шаблони за отговор за всеки тип искане. Това е точка 18 от контролния лист и една от най-евтините за затваряне, защото изисква организация, а не технология.

Втората критична времева линия е при нарушение на сигурността. Ако клиентски данни изтекат, бъдат откраднати или станат недостъпни поради инцидент, магазинът трябва да прецени риска и при наличие на риск за правата на субектите да уведоми КЗЛД в срок до 72 часа от узнаването. При висок риск трябва да уведоми и засегнатите клиенти. Без предварителна процедура 72-те часа изтичат в паника, а закъснялото или липсващо уведомяване утежнява санкцията повече от самия инцидент.

Санкционната рамка на GDPR е сериозна: до 20 милиона евро или до 4 на сто от годишния световен оборот за по-тежките нарушения. За малък български онлайн магазин таванът е теоретичен, но реалните санкции на КЗЛД за непоискан маркетинг, липса на основание и незачитане на права на субекти достигат до десетки хиляди левове и почти винаги се придружават от задължителни предписания. По-честият резултат при добросъвестно отношение и бързо привеждане в съответствие е препоръка или по-ниска санкция, но това зависи от готовността, която покажете при проверката.

Важно е да се разбере как започват повечето преписки. Те рядко тръгват от планова проверка. Тръгват от жалба: недоволен клиент, който е получил нежелан имейл, забелязал е проследяване без съгласие или не е получил отговор на искане. Затова контролният лист е подреден така, че точките, които жалбоподателят може да види отвън (бисквитки, отписване, политика, отговор на искане), са с най-висок приоритет.

Самият одит протича на четири стъпки. Първо, преглед на видимото отвън: банер за бисквитки, реални заявки от браузъра, политики, форми за съгласие, имейли. Второ, преглед на документите: регистър на дейностите, договори с обработващи, процедури, срокове за съхранение. Трето, преглед на вътрешните настройки: контрол на достъпа, MFA, актуализации, резервни копия. Четвърто, доклад с оценка по всяка от 23-те точки, приоритизиран план за привеждане в съответствие и готови шаблони на липсващите документи.

Следваща стъпка

Готови ли сте да затворите 23-те точки, преди да го направи жалбоподател?

Правим GDPR одит на онлайн магазина ви по контролния лист от 23 точки, проверяваме реалните бисквитки и договори, и доставяме приоритизиран доклад с готови шаблони на задължителните документи. Базовият одит приключва за около 2 седмици от 1 500 лв. При отворена преписка пред КЗЛД работим в ускорен режим.